Petya: Onde começou, o que faz e como pode ser parado

Saibam tudo sobre esta perigosa ameaça

2059
0
Share:

O Petya está a espalhar-se rapidamente por toda a Europa e pelos Estados Unidos. Consiste num novo ataque de ransomware massivo que está a afetar diversas empresas, que atuam nas mais variadas áreas.

O ransomware parece estar relacionado com a família Petya, que é atualmente detetada pela ESET como Win32/Diskcoder.C Trojan.

A dimensão do ataque já se assemelha ao do surto WannaCry e a equipa da ESET, uma empresa de segurança que desenvolve soluções antivírus, localizou o ponto inicial de onde partiu esta ameaça global: – a Ucrânia. Os criminosos conseguiram comprometer o software de contabilidade M.E.Doc, popular em diversas empresas ucranianas. Na prática, algumas delas executaram uma versão modificada do M.E.Doc que permitiu aos atacantes lançarem esta campanha massiva de ransomware e que se espalhou por todo o país e por todo o mundo. A propósito disto a M.E.Doc lançou hoje um aviso no website: http://www.me-doc.com.ua/vnimaniyu-polzovateley.

Como funciona o Petya?

O malware Petya ataca a Master Boot Record de um computador, uma parte essencial do sistema de arranque que contém informações acerca das partições do disco rígido e é essencial para que o sistema operativo seja carregado. Se o malware conseguir infectar com sucesso a MBR, encripta todo o disco. Caso contrário, encripta todos os ficheiros, como o Mischa.

Para se espalhar, parece utilizar uma combinação de um exploit SMB (EternalBlue) que foi utilizado pelo WannaCry para se conseguir infiltrar na rede e recorre posteriormente ao PsExec para se espalhar. Esta combinação perigosa pode ser o motivo pelo qual esta ameaça se esta a espalhar a nível global e rapidamente, mesmo depois dos outros ataques terem merecido uma cobertura tão grande ao nível da imprensa e de muitas vulnerabilidades terem sido corrigidas.

Para verificarem se o vosso sistema operativo Windows está protegido, podem dar um clique aqui.

Importa salientar que apenas é necessário um computador sem proteção, para que esta ameaça consiga penetrar na rede. Posteriormente, o malware pode obter privilégios de administração e espalhar-se a outros computadores.

Petya

Peyta – Os países com maiores incidências até ao momento

O Petya e o crypto-ransomware

Na Ucrânia, o setor financeiro, de energia e muitas outras indústrias foram atingidas. O nível de danos causados ao setor de energia ainda não está confirmado. A única certeza é que ainda não existem falhas de energia, como aconteceu com o ataque do malware Industroyer que foi descoberto pela ESET.

Entretanto surgiu na Internet um texto que consiste, alegadamente, na mensagem de ransomware com que os utilizadores afetados por esta ameaça se deparam e que nós traduzimos do inglês:

“Se conseguem ver este texto, os vossos ficheiros já não estão acessíveis porque foram encriptados… Garantimos que os vão conseguir recuperar com facilidade e segurança. Tudo o que necessitam de fazer é submeterem o equivalente a 300 dólares em bitcoins e adquirirem a chave de desencriptação.”

Imagem de um sistema infectado pelo Petya. Cortesia: ESET

Nuno Mendes, responsável máximo da ESET Portugal, afirmou à Leak que “este é um fenómeno repetido de ciberataques massivos que centra as atenções no seu resultado final que é um ataque por ransomware, onde um número astronómico de máquinas e os seus dados podem ficar reféns até ser pago o valor do resgate (na ‘melhor ‘ hipótese acontece a cifragem de ficheiros, sendo que no pior cenário todo o disco é cifrado).”

Realça ainda que o que “mais se destaca deste novo ataque é o recurso a técnicas usadas previamente noutro tipos de ataques que foram engenhosamente orquestradas para causar um efeito mais devastador nos sistemas”.

Como se podem proteger

  • Utilizem software antimalware de confiança: Isto é um componente básico, mas crítico. Lá porque é um servidor ou tem firewall, não significa que não seja necessário um antimalware.
  • Instale sempre um software antimalware e mantenha-o atualizado.
  • Certifique-se que tem todas as atualizações do Windows instaladas
  • Execute o verificador de vulnerabilidades disponível aqui

Ainda segundo Nuno Mendes, “Esta ou outras vaga de ataques pode ser potencialmente bloqueadas de forma proactiva implementando uma solução de segurança anti-malware com protecção multi-camada (serviço de reputação na Cloud, regras de HIPS para prevenção de execução de aplicações em pastas temporárias, análise avançada heurística, filtragem de conteúdos web, anti-spam, deteção de malware gerado em memória, entre outros) nunca descurando a atualização dos sistemas”

O que podem fazer se foram infectados

O ransomware infecta os computadores e espera cerca de uma hora antes de reiniciar à máquina e começar a encriptar os ficheiros. Enquanto a máquina está a reiniciar desligue o computador para prevenir que os ficheiros sejam infectados. Fonte: @HackerFantastic.

Alguns termos que deve conhecer:

Ransomware – O ransomware consiste num tipo de malware que bloqueia o acesso a um computador ou aos seus dados e exige dinheiro para os libertar.

Entretanto fiquem com uma lista da prevalência da infecção por países, até às 14 horas de hoje (Cortesia da ESET)

75.24% Ucrânia
9.06% Alemanha
5.81% Polónia
2.87% Sérvia
1.39% Grécia
1.02% Roménia
0.82% Rússia
0.82% República Checa
0.50% Itália
0.42% Estonia
0.23% Israel
0.20% Bielorrúsia
0.16% Holanda
0.15% Hungria
0.12% Cazaquistão
0.12% Letónia
0.12% Chipre
0.10% Espanha
0.09% Reino Unido
0.09% Estados Unidos
0.09% Eslováquia
0.09% Bélgica
0.09% Lituânia
0.07% República Popular da China
0.06% Argentina
0.03% Argentina
0.03% Brasil
0.03% Taiwan
0.03% Peru
0.03% África do Sul
0.01% Tailândia
0.01% Vietname
0.01% Geórgia
0.01% Coreia
0.01% Kuwait
0.01% Marrocos
0.01% Azerbaijão
0.01% Irão
0.01% Austrália
Share:
Patricia Fonseca

Dê a sua opinião